Biométrie au travail : la CNIL adopte un règlement type
La Commission Nationale de l’Informatique et des Libertés (CNIL) a publié le 28 mars dernier son règlement type « biométrie sur les lieux de travail »
|
Ce règlement fixe les règles applicables à toute utilisation de données biométriques imposée par un employeur du secteur public ou privé à son personnel pour le contrôle des accès aux locaux, aux applications et aux outils de travail.
Un cadre juridiquement contraignant
Avec la réécriture de la loi Informatique et Libertés, le législateur français a donné à la CNIL de nouveaux pouvoirs de régulation.
La Commission peut ainsi établir, en concertation avec les organismes publics et privés représentatifs des acteurs concernés, des règlements types afin d’encadrer les traitements de données biométriques, génétiques et de santé. A ce titre, ce règlement type est juridiquement contraignant pour les organismes. Il est donc important de noter que, contrairement aux référentiels ou recommandations que la CNIL adopte, le respect de ce règlement est obligatoire pour tout organisme qui souhaite mettre en place un dispositif biométrique pour le contrôle des accès sur les lieux de travail.
Les points importants à retenir
Le type de données biométriques concernées :
Le règlement type rappelle que l’authentification biométrique basée sur des caractéristiques morphologiques (iris, empreinte digitale, réseau veineux de la main, etc.) est autorisée, au contraire de celle nécessitant un prélèvement biologique (salive, sang, etc.)Par ailleurs, le responsable du traitement doit justifier et documenter le choix du type de biométrie utilisée, et notamment pourquoi il a choisi une caractéristique biométrique plutôt qu’une autre.
La justification du recours à un traitement de données biométriques :
Le responsable du traitement doit démontrer la nécessité de recourir à un dispositif biométrique plutôt qu’à d’autres dispositifs d’identification (badges, mots de passe, etc.) pour atteindre le niveau de sécurité exigé. Pour cela, une documentation doit être tenue par le responsable du traitement, détaillant le contexte du traitement rendant nécessaire un niveau de protection élevé (manipulation de machines ou produits dangereux, à du matériel faisant l’objet d’une règlementation spécifique) et démontrant l’insuffisance d’un autre dispositif moins intrusif.
Le choix des modalités de détention du gabarit :
Différents types de détention de gabarits biométriques sont envisageables, distingués selon le degré de maîtrise des personnes concernées sur le support de conservation. Le règlement type précise qu’en principe, dans le cadre de traitements de données biométriques, les employeurs ne peuvent utiliser que des gabarits de type 1, c’est-à-dire sous maîtrise des personnes concernées (le support de stockage est détenu par la personne elle-même, par exemple un badge. Les gabarits de type 2 (sous maîtrise partagée) et de type 3 (non maîtrisés par les personnes concernées) peuvent être utilisés seulement dans des circonstances particulières. En outre, la décision de recourir aux gabarits de type 2 ou 3 doit être documentée par le responsable du traitement en justifiant le choix effectué.
La sécurité des données :
Le règlement type impose aux organismes de mettre en place au minimum les mesures de sécurité techniques et organisationnelles expressément définies dans le texte, et à défaut des mesures dont ils démontrent qu’elles sont équivalentes.
L’analyse d’impact relative à la protection des données :
Le règlement type rappelle l’obligation d’effectuer une analyse d’impact pour les traitements de données biométriques aux fins d’identifier une personne physique considérée comme « vulnérable » (salariés, mineurs, personnes âgées, patients, etc.), conformément à la liste adoptée par la CNIL sur les types d’opérations de traitement pour lesquelles une analyse d’impact est requise.
Pour en savoir plus:
https://www.cnil.fr/fr/biometrie-sur-les-lieux-de-travail-publication-dun-reglement-type
https://www.cnil.fr/fr/question-reponses-sur-le-reglement-type-biometrie
https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-avec-aipd-requise-v2.pdf
Solution logicielle : https://www.digitemis.com/innovation-et-outils/
Je partage
Derniers articles
Directive DORA : Comment se mettre en conformité simplement ?
Fin 2024, tous les établissements financiers européens devront se mettre en conformité avec la directive DORA. Digitemis vous explique comment faire simplement.
2023 : une année charnière dans l’évolution du cadre réglementaire des données
Nouvelle affirmation de la position de la commission LIBE sur la future décision d’adéquation entre l’UE mais aussi la vision de la CNIL sur une nécessaire entrée en application du DGA ; toutes les explications par notre experte, Marie Pontrucher.